Microsoft hat am 9. Juli 2026 im Windows Experience Blog angekündigt, KI-gestützte Werkzeuge zur Schwachstellenerkennung und -behebung dauerhaft und breit in die Entwicklung von Windows zu integrieren. Bislang lief der Einsatz solcher Systeme eher punktuell; künftig soll er fester Bestandteil des Entwicklungsprozesses werden. Als direkte Folge kündigt das Unternehmen an, dass Kundinnen und Kunden mit einer höheren Zahl an Sicherheitsupdates rechnen sollten, weil mehr Schwachstellen gefunden werden, bevor sie ausgenutzt werden können.
Was Microsoft konkret ändert
Im Zentrum der Ankündigung steht MDASH, kurz für “multi-model agentic scanning harness”. Wie Microsoft im Security Blog beschreibt, orchestriert das System über 100 spezialisierte KI-Agenten aus einem Ensemble von Frontier- und destillierten Modellen. Anstatt ein einzelnes Modell für alle Aufgaben zu nutzen, durchläuft der Code eine fünfstufige Pipeline: Vorbereitung (Analyse von Quellcode und Bedrohungsmodellen), Scan (spezialisierte Prüf-Agenten identifizieren Kandidaten), Validierung (weitere Agenten bewerten Ausnutzbarkeit und Erreichbarkeit), Deduplizierung (inhaltlich gleiche Funde werden zusammengeführt) und schließlich Beweisführung, bei der das System aktiv Eingaben konstruiert, um einen Fehler dynamisch zu bestätigen.
Vorgestellt wurde MDASH bereits am 12. Mai 2026 von Taesoo Kim, bei Microsoft Vice President für Agentic Security, als Projekt des unternehmenseigenen Autonomous-Code-Security-Teams. Die Ankündigung vom 9. Juli macht daraus nun keinen Prototyp mehr, sondern einen festen Baustein der Windows-Sicherheitsarbeit.
Was MDASH bislang gefunden haben soll
Nach eigenen Angaben von Microsoft trug MDASH beim Patch Tuesday im Mai 2026 zu 16 der in diesem Monat behobenen Schwachstellen bei. Darunter waren nach übereinstimmenden Berichten mindestens zwei kritische Remote-Code-Execution-Lücken: CVE-2026-33824, ein Double-Free-Fehler in ikeext.dll im Rahmen von IKEv2, sowie CVE-2026-33827, ein Race-Condition-Fehler in tcpip.sys. Betroffen waren vor allem Komponenten des Windows-Netzwerk- und Authentifizierungsstacks. Zur genauen Aufteilung zwischen kritischen und weniger schweren Funden gibt es in den verfügbaren Quellen leicht abweichende Angaben; eine unabhängige, einheitliche Bestätigung der vollständigen Liste liegt nicht vor.
Zu den von Microsoft veröffentlichten Benchmark-Ergebnissen zählen unter anderem eine Erfolgsquote von 88,45 Prozent auf dem öffentlichen CyberGym-Testsatz mit 1.507 realen Schwachstellen sowie 21 von 21 korrekt erkannten, gezielt platzierten Schwachstellen in einem internen Testsystem ohne Fehlalarme. Diese Zahlen stammen ausschließlich vom Unternehmen selbst.
Was sich für Nutzer und Administratoren ändert
Microsoft rät Organisationen, von starren, kalenderbasierten Patch-Zyklen auf ein risikobasiertes, kontinuierliches Vorgehen umzusteigen. Empfohlen werden gestufte Rollout-Ringe, das frühzeitige Testen von Vorschau-Versionen sowie der Einsatz von Werkzeugen wie Windows Autopatch, Microsoft Intune, Azure Arc und Azure Update Manager. Als Sicherheitsnetz für den Fall fehlerhafter Updates verweist Microsoft auf die Funktion Known Issue Rollback, mit der problematische Änderungen zurückgenommen werden können, sowie auf interne Tests im Rahmen des Security Update Validation Program.
Microsoft betont dabei ausdrücklich, dass Menschen weiterhin die Verantwortung für Code-Review, Risikoeinschätzung und die endgültige Freigabe von Fixes tragen. KI-Systeme wie MDASH sollen Schwachstellen identifizieren und Vorschläge liefern, die abschließende Entscheidung bleibt aber bei den Windows-Entwicklungsteams.
Unabhängige Einordnung
Berichte von BleepingComputer und dem Petri IT Knowledgebase bestätigen die Grundzüge der Ankündigung, liefern aber keine eigene Verifikation der von Microsoft genannten Zahlen. Beide Artikel weisen darauf hin, dass weder eine Falsch-Positiv-Rate noch unabhängige Messungen zur tatsächlichen Beschleunigung der Schwachstellenerkennung vorliegen. BleepingComputer merkt zudem an, dass auch Angreifer zunehmend KI-Werkzeuge nutzen, um Schwachstellen zu finden und auszunutzen – ein Wettlauf, den die Microsoft-Ankündigung selbst nicht thematisiert.
Einordnung
Die Ankündigung reiht sich in einen breiteren Trend ein, bei dem große Softwareanbieter KI-Systeme zunehmend zur automatisierten Fehlersuche im eigenen Code einsetzen. Für Microsoft als Betreiber eines der am weitesten verbreiteten Betriebssysteme ist das ein Balanceakt: Mehr gefundene Schwachstellen bedeuten potenziell weniger Angriffsfläche, gleichzeitig aber auch mehr und häufigere Updates, die Administratorinnen und Administratoren einspielen müssen. Ob die von Microsoft berichteten Trefferquoten und die niedrige Fehlalarmrate auch unter unabhängiger Prüfung Bestand haben, ist bislang offen.


